Come riporta Coveware by Veeam, l’ondata di attacchi ransomware mirati evidenzia il ruolo cruciale della resilienza dei dati nell’attuale scenario.
Coveware by Veeam ha presentato oggi il report ransomware relativo al secondo trimestre 2025, che evidenzia un’escalation significativa degli attacchi ransomware mirati di social engineering. Così come un’impennata nei pagamenti dei riscatti, alimentata da sofisticate tattiche di esfiltrazione dei dati.
“Il secondo trimestre del 2025 rappresenta un punto di svolta nel panorama del ransomware: il social engineering mirato e l’esfiltrazione dei dati sono diventati la strategia dominante,” ha dichiarato Bill Siegel, CEO di Coveware by Veeam. “Gli attaccanti non prendono più di mira solo i backup, ma anche le persone, i processi e la reputazione dei dati. Le organizzazioni devono dare priorità alla consapevolezza dei dipendenti, rafforzare i controlli di identità e considerare l’esfiltrazione dei dati come un rischio urgente, non come un aspetto secondario.”
Principali evidenze del Q2 2025 secondo Coveware by Veeam
Il social engineering rappresenta la minaccia più grave. Tre importanti gruppi ransomware – Scattered Spider, Silent Ransom e Shiny Hunters – hanno dominato il trimestre, sfruttando attacchi di social engineering estremamente mirati per violare organizzazioni in diversi settori. Questi gruppi hanno abbandonato gli attacchi opportunistici su larga scala a favore di incursioni chirurgiche. Utilizzando nuove tecniche di impersonificazione contro help desk, dipendenti e fornitori terzi.
Pagamenti dei riscatti ai massimi storici. L’importo medio e mediano dei pagamenti ha raggiunto rispettivamente 1,13 milioni di dollari (+104% rispetto al Q1 2025) e 400.000 dollari (+100%). L’aumento è dovuto a organizzazioni di grandi dimensioni che hanno pagato in seguito a incidenti basati esclusivamente sull’esfiltrazione dei dati. Mentre il tasso complessivo di aziende che hanno pagato un riscatto è rimasto stabile al 26%.
Il furto di dati supera la cifratura come principale metodo di estorsione. L’esfiltrazione ha riguardato il 74% dei casi, con numerose campagne focalizzate sul furto di dati piuttosto che sulla cifratura dei sistemi. Sono in crescita le tattiche di “multi-estorsione” e le minacce differite, che mantengono le organizzazioni sotto pressione anche molto tempo dopo l’attacco iniziale.
Settori più colpiti: servizi professionali, sanità e servizi al consumatore. I servizi professionali (19,7%), la sanità (13,7%) e i servizi al consumatore (13,7%) hanno subito il maggior numero di attacchi. Le aziende di medie dimensioni (tra 11 e 1.000 dipendenti) hanno rappresentato il 64% delle vittime. Target ideale per gli attaccanti grazie a un buon potenziale di guadagno e difese meno mature.
Le tecniche di attacco evolvono, il fattore umano resta la vulnerabilità principale. Compromissione delle credenziali, phishing ed exploitation di servizi remoti continuano a rappresentare i vettori di accesso iniziale più diffusi, con una crescente capacità degli attaccanti di aggirare i controlli tecnici tramite social engineering. I gruppi sfruttano regolarmente vulnerabilità in piattaforme ampiamente utilizzate (Ivanti, Fortinet, VMware) ed è in aumento il numero di attacchi condotti da singoli criminali esperti che utilizzano toolkit generici e non brandizzati.
Nuovi protagonisti ridefiniscono la classifica del ransomware. Le varianti più diffuse nel Q2 sono state Akira (19%), Qilin (13%) e Lone Wolf (9%). Mentre Silent Ransom e Shiny Hunters sono entrati per la prima volta nella top five.
Ridurre i rischi e recuperare i dati
Coveware by Veeam ha aiutato migliaia di vittime di estorsioni informatiche e ha sviluppato software e servizi leader del settore. Questi consentono un rapido triage forense, la negoziazione e la bonifica delle estorsioni, i pagamenti in criptovaluta e i servizi di decriptazione con un unico obiettivo e risultato: il recupero dei dati dagli attacchi ransomware. Grazie a questi incidenti, Coveware by Veeam ha raccolto dati e intuizioni sugli schemi degli attori delle minacce che forniscono una visione impareggiabile dell’attuale panorama delle minacce. Queste preziose scoperte vengono condivise con i clienti per contribuire a educare e ridurre i rischi. Migliorare la postura di sicurezza e garantire un rapido recupero. Alcune funzionalità di Coveware by Veeam sono incorporate nelle offerte di Veeam, tra cui Veeam Data Platform e il Veeam Cyber Secure Program. Offrendo le intuizioni e le funzionalità a un numero maggiore di clienti.
Il report trimestrale di Coveware by Veeam si basa su dati di prima mano, approfondimenti di esperti e analisi dei casi di ransomware e di estorsione informatica gestiti ogni trimestre. Utilizzando una risposta agli incidenti in tempo reale, strumenti forensi proprietari (tra cui Recon Scanner) e una documentazione completa del comportamento degli attori delle minacce, dei vettori di attacco e dei risultati delle trattative. Aggregando e analizzando i dati specifici dei casi – piuttosto che affidarsi a fonti di terze parti – Coveware by Veeam è in grado di identificare le tendenze emergenti. Tracciare le tattiche, le tecniche e le procedure (TTP). Fornendo un’intelligence azionabile e basata sull’esperienza sul panorama del ransomware in rapida evoluzione.
